Atak cybernetyczny na ukraiński system energetyczny

Złośliwe oprogramowanie było przyczyną przerw w dostawach energii do około połowy domów w rejonie Iwano-Frankowska na Ukrainie. Przerwa spowodowana atakiem cybernetycznym trwała kilka godzin.

Zachęcamy do skorzystania z bezpłatnej prenumeraty
elektronicznej magazynu Computerworld!
5 strategii nowoczesnej ochrony danych

5 strategii nowoczesnej ochrony danych

Nie jest tajemnicą, że tradycyjne metody backupu i odtwarzania danych nie nadążają za niespotykanym wzrostem ich ilości, szybko postępującą konsolidacją centrów przetwarzania oraz wirtualizacją serwerów. Poniżej przedstawiono pięć strategii nowoczesnej ochrony danych, które nie...

Przywrócenie kontroli działu IT nad danymi i rozszerzenie współpracy za pomocją narzędzi Commvault do bezpiecznego udostępniania plików.

Przywrócenie kontroli działu IT nad danymi i rozszerzenie współpracy za pomocją narzędzi Commvault do bezpiecznego udostępniania plików.

66% pracowników udostępnia dokumenty lub pliki innym ludziom 71% stosuje reguły dotyczące korzystania z danych i posługiwania się nimi 58% odpowiedzialnych za bezpieczeństwo IT ma obawy w tym zakresie Dyrektorzy i szefowie przedsiębiorstw chcą, aby pracownicy byli w stanie łatwo...

Zautomatyzowane rozpoznawanie i szybkie eliminowanie słabych punktów

Zautomatyzowane rozpoznawanie i szybkie eliminowanie słabych punktów

Spektakularne ataki cybernetycznie nie są już dziełem geniuszu utalentowanych hackerów. Jeśli na komputerach w przedsiębiorstwie znajdują się słabe punkty, można dokonać ataku za pomocą narzędzi dostępnych w internecie. Ta biała księga opisuje scenariusze ataków i pokazuje, jak...

Rozległa przerwa w dostawach energii elektrycznej, która objęła około połowy domów znajdujących się w regionie Iwano-Frankowska na Ukrainie (obszar ten zamieszkuje około półtora miliona osób) nie była spowodowana klasycznym uszkodzeniem urządzeń. Kilkugodzinną przerwę 23 grudnia 2015r. spowodował atak cyberprzestępców, którzy zablokowali pracę krytycznej infrastruktury za pomocą złośliwego oprogramowania.

Początkowo nie łączono ze sobą poszczególnych awarii, ale firma ESET na podstawie informacji telemetrycznych związanych z usługami wykrywania złośliwego oprogramowania działającymi w chmurze ustaliła, że było to skoordynowane działanie. Jego celem były różne przedsiębiorstwa z sektora energetycznego na Ukrainie, wszystkie ataki odbyły się w tym samym czasie. Terroryści wykorzystali do ataku znane od pewnego czasu złośliwe oprogramowanie BlackEnergy, które z kolei zainstalowało komponent o nazwie KillDisk, blokujący ponowny start z dysku twardego komputera.

Zobacz również:

Wirus był już znany

Złośliwe oprogramowanie z rodziny BlackEnergy było znane od kilku lat. Pierwsze dokładniejsze opracowania przedstawiono podczas konferencji Virus Bulletin w 2014r., omawiając ataki cyberszpiegowskie przeciw istotnym celom z sektora rządowego na Ukrainie. Twórcy wykorzystali różne mechanizmy infekcji, wykorzystując przy tym niesławną podatność dnia zerowego w oprogramowaniu Microsoft Powerpoint (CVE-2014-4114). Wirusa początkowo wykorzystywano do celów szpiegowskich, ale już w 2014r. badacze wykryli składnik odpowiedzialny za infekcję urządzeń automatyki przemysłowej.

W listopadzie ubiegłego roku odkryto wykorzystanie dodatkowego składnika niszczącego dyski (KillDisk), który miał za zadanie trwale unieruchomić atakowany system operacyjny. Oprogramowanie to zostało wykorzystane do ataków przeciw firmom z sektora mediów podczas ubiegłorocznych wyborów lokalnych na Ukrainie. Ten sam mechanizm został teraz wykorzystany w ataku przeciw przedsiębiorstwom z branży dystrybucji energii elektrycznej (zaatakowano kilka firm, w tym „Prikarpatja Oblenergo”).

Jak doszło do infekcji

Jak informuje ukraińskie przedsiębiorstwo zajmujące się bezpieczeństwem teleinformatycznym CyS Centrum, wektorem infekcji był dokument pakietu biurowego Microsoft Office zawierający złośliwe makra. Scenariusz ataku obejmował wysyłanie kierowanej kampanii spear phishingowej, w której ofiara otrzymywała załącznik zawierający zainfekowany plik oraz tekst zachęcający do uruchomienia makra. Po uruchomieniu makr komputer został zainfekowany koniem trojańskim BlackEnergy. Koń trojański BlackEnergy jest oprogramowaniem modułowym, który pobiera i instaluje różne komponenty przeznaczone do wypełniania zadań. Takim modułem był KillDisk, który oprócz usuwania plików i niszczenia środowiska startowego Windows, posiadał również narzędzia przeznaczone do sabotażu systemów automatyki przemysłowej. Oprogramowanie mogło odczekać wskazany czas, a następnie przerwać dwa procesy związane z modułem komunikacji przez wirtualny port szeregowy ELTIMA lub urządzenia ASEM. Jeśli wirus wykrył odpowiednie składniki, nie tylko przerywał proces, ale także nadpisywał odpowiadające mu sterowniki, by utrudnić przywrócenie systemu do działania. Istnieje także inne wyjaśnienie istnienia modułu niszczącego – koń trojański zawarty w złośliwym oprogramowaniu służył do zdalnego dostępu, a mechanizm KillDisk posłużył na końcu ataku do zacierania śladów.

Prenumerata Computerworld Zamów teraz bezpłatnie »
Dołącz do dyskusji
Bądź pierwszy i zostaw komentarz.